{"id":13332,"date":"2023-11-08T07:00:00","date_gmt":"2023-11-08T06:00:00","guid":{"rendered":"https:\/\/www.cyberfero.com\/?p=13332"},"modified":"2023-10-30T22:44:52","modified_gmt":"2023-10-30T21:44:52","slug":"logic-bomb-cosa-sono-come-prevenirle","status":"publish","type":"post","link":"https:\/\/www.cyberfero.com\/it\/logic-bomb-cosa-sono-come-prevenirle\/","title":{"rendered":"Logic Bomb: cosa sono e come prevenirle"},"content":{"rendered":"\n

<\/path><\/svg><\/span><\/span>Estimated reading time: <\/span>6<\/span> minuti<\/span><\/p>\n\n\n\n

Una logic bomb, chiamata anche slug code<\/em>, \u00e8 un pezzo di codice inserito in un’applicazione, virus o malware che implementa una funzione dannosa dopo un certo limite di tempo o in condizioni specifiche.<\/strong><\/p>\n\n\n\n

Queste “bombe” sono spesso usate tramite virus, worm e Trojan per gestire al meglio il tempo a disposizione e fare il massimo danno prima di essere notati<\/strong>. Eseguono azioni come corrompere o alterare i dati, riformattare un disco rigido e cancellare file importanti. <\/p>\n\n\n\n

In questo articolo voglio spiegare cosa sia un bomba logica e offrire qualche suggerimento per prevenirne i danni.<\/p>\n\n\n\n

\"Logic<\/a><\/figure>\n\n\n\n

Cos’\u00e8 un logic bomb virus<\/em>?<\/h2>\n\n\n\n

Una bomba logica \u00e8 spesso inserita in un virus o comunque in un file eseguibile. \u00c8 composta da un codice malevolo che innesca un attacco quando vengono soddisfatte condizioni specifiche.<\/strong> Le condizioni possono essere positive (qualcosa che accade) oppure negative (qualcosa che non accade). Nel primo caso un esempio \u00e8 quello dell’apertura di un programma, invece, un esempio di condizione negativa \u00e8 un utente che non compie il login.<\/p>\n\n\n\n

Le bombe logiche sono spesso installate da qualcuno con un accesso di alto livello, come un amministratore di sistema.<\/strong> Tale persona pu\u00f2 causare il caos impostando questi codici su pi\u00f9 sistemi e programmandoli per “esplodere” simultaneamente quando si verifica un certo evento. Per esempio, potrebbero azionarsi quando un certo dipendente viene rimosso dal database degli stipendiati, cio\u00e8 quando viene licenziato.<\/p>\n\n\n\n

Con il termine slag code<\/em> ci si riferisce al codice manipolato che rende dannoso un programma altrimenti sicuro. Le versioni a tempo di bomba logica sono quelle pi\u00f9 diffuse<\/strong> e utilizzano come condizione positiva il trascorrere di un certo lasso di tempo.<\/p>\n\n\n\n

Qualunque sia il nome usato, il metodo di attacco \u00e8 sempre chiaramente lo stesso: il codice rimane dormiente nel software infetto fino a quando non viene innescato<\/strong>. Gli attacchi comuni coinvolgono la corruzione dei dati, la cancellazione dei file e la cancellazione dei dischi rigidi<\/em>.<\/p>\n\n\n\n

Come funziona<\/h2>\n\n\n\n

Il modo in cui una logic bomb<\/em> funziona dipende da chi l’ha ideata. Ogni bomba logica \u00e8 unica, ed \u00e8 per questo che sono difficili da tracciare<\/strong>. Di solito sono personalizzate per essere il meno rilevabili possibile. Spesso sono travestite<\/em> per sembrare un tipico virus informatico o inserite in altri tipi di malware come i worm<\/strong>. Worm e virus sono diversi, ma le bombe logiche non si preoccupano della distinzione: possono causare danni attraverso entrambi.<\/p>\n\n\n\n

Una bomba logica \u00e8 effettivamente un malware? Poich\u00e9 fanno parte di altri programmi, no, ma di solito hanno un intento maligno. Ecco perch\u00e9 gli slag code<\/em> sono cos\u00ec difficili da rilevare. Inoltre, essendo “solo” codice, potenzialmente inseribile ovunque, mitigare il rischio \u00e8 pi\u00f9 complicato.<\/strong><\/p>\n\n\n\n

La cosa migliore da fare, come utente finale che potrebbe essere coinvolto in un attacco con una logic bomb, \u00e8 quello di tenere gli occhi aperti e chiedere agli esperti IT della tua azienda di fare i controlli necessari in caso di dubbio. Il rischio \u00e8 quello di far scattare la bomba involontariamente cercando di trovarla.<\/strong><\/p>\n\n\n\n

Esempi di attacchi<\/h2>\n\n\n\n

Le bombe logiche possono cambiare in modo impercettibile un frammento di codice in modo che appaia tecnicamente normale<\/em> ad un sistema automatico di ricerca delle minacce, mentre sembrerebbe molto sospetto per un occhio umano. Nel 2016, un programmatore freelance ha volontariamente causato un malfunzionamento ricorrente dei fogli di calcolo in una filiale della societ\u00e0 Siemens.<\/strong> La filiale lo ha continuato ad assumere per risolvere il problema che lui stesso aveva causato (Fonte<\/a>). In questo caso, i dipendenti non sospettavano nulla fino a quando una fortunata coincidenza ha costretto il codice maligno a uscire allo scoperto. <\/p>\n\n\n\n

Anche le aziende possono usare bombe logiche per violare i propri clienti<\/strong>. Nel 2005, Sony fu coinvolta in uno scandalo per aver rilasciato dei CD che scatenavano una bomba logica quando venivano inseriti in un computer. Lo slag code<\/em> contenuti nei CD installava un rootkit che bloccava la capacit\u00e0 del PC di copiare i CD. (Fonte<\/a>)<\/p>\n\n\n\n

Un altro caso di alto profilo si \u00e8 verificato nei primi anni 2000, quando un dipendente di UBS Global, arrabbiato per una disputa salariale, ha piazzato una bomba logica a tempo che ha causato pi\u00f9 di tre milioni di dollari di danni<\/strong>. Un segno evidente che uno snippet di codice molto piccolo pu\u00f2 causare una grande quantit\u00e0 di danni. (Fonte<\/a>)<\/p>\n\n\n\n

Nel 2013, un attacco con una bomba a tempo in Corea del Sud ha cancellato i dischi rigidi di diverse banche e societ\u00e0 di trasmissione. Il gruppo responsabile dell’attacco ha messo la bomba a tempo all’interno di un malware che ha finito per infettare oltre 32.000 sistemi<\/strong>. Le bombe sono esplose tutte insieme, causando il caos in tutto il paese. (Fonte<\/a>)<\/p>\n\n\n\n

\"Logic<\/a><\/figure>\n\n\n\n

Da dove vengono e come prevenire le logic bomb<\/h2>\n\n\n\n

Come abbiamo visto anche negli esempi, le bombe logiche sono tipicamente distribuite all’interno di una rete chiusa, come quella di un’azienda o di una filiale. Una delle probabili fonti \u00e8 un dipendente scontento con accessi di amministratore<\/em>, quindi un attento monitoraggio delle attivit\u00e0 in uscita del personale dovrebbe rivelare qualsiasi attivit\u00e0 sospetta<\/strong>. Ma non \u00e8 tutto, le bombe logiche possono anche essere piazzate in allegati di email e download di file sospetti<\/strong>, quindi gli utenti dovrebbero essere vigili quando scelgono i file da scaricare. <\/p>\n\n\n\n

Come abbiamo visto quando abbiamo parlato di phishing<\/a> e di ingegneria sociale<\/a>, la parte pi\u00f9 hackerabile di un sistema, sono spesso gli user. Per questo una campagna preventiva \u00e8 sempre un’ottima scelta. Prendersi cura del personale significa anche proporre dei training specifici tramite servizi di phishing etico<\/a>.<\/strong><\/p>\n\n\n\n

Oltre alla prevenzione, \u00e8 bene limitare i privilegi amministrativi a un gruppo selezionato di dipendenti in modo che sia meno probabile che qualcuno possa causare gravi danni alla rete<\/strong> con una bomba logica. Questo metodo preventivo, inoltre, riduce il numero dei sospetti in caso di attacco, rendendo l’appartenenza a quello specifico gruppo di dipendenti di per s\u00e9 un deterrente contro gli attacchi interni. <\/p>\n\n\n\n

La soluzione proposta da SOD<\/h3>\n\n\n\n

Dove la prevenzione fallisce e vincono invece gli hacker, \u00e8 il campo ideale per implementare sistemi avanzati di monitoring e analisi.<\/strong> <\/p>\n\n\n\n

SOD offre, per esempio, un sistema SIEM nella soluzione SOC as a Service<\/a>. Tramite il SIEM vengono costantemente raccolte informazioni su quello che succede nella rete<\/strong>. Queste informazioni vengono poi arricchite con metadati contestuali per uniformarle e gestirle al meglio. Gi\u00e0 questo \u00e8 in grado di far scattare allarmi se alcuni eventi sospetti si verificassero. Ma se questo non bastasse, il SOC dispone anche di uno strumento di “User and Entity Behavior Analysis<\/strong>” (UEBA) che analizza il comportamento degli utenti e grazie all’interazione di una IA riesce a individuare comportamenti sospetti.<\/p>\n\n\n\n

Se vuoi saperne di pi\u00f9 riguardo al servizio SOC offerto, o se hai delle domande su come SOD pu\u00f2 aiutarti a mantenere la tua azienda al sicuro, non esitare a contattarci. Saremo lieti di rispondere a ogni dubbio.<\/strong><\/p>\n\n\n\n

\n
Contattaci<\/a><\/div>\n<\/div>\n\n\n\n

Useful links:<\/span><\/strong><\/p>\n\n\n\n

Mobile App Penetration Test & Code Review<\/a><\/p>\n\n\n\n

Cos’\u00e8 la Cyber Security? Definizione e proposte<\/a><\/p>\n\n\n\n